toute l'actualité "Management"

Le « social engineering » est une stratégie en forte croissance chez les cybercriminels.

Le Clusif (Club de la Sécurité des Systèmes d'Information Français) a organisé le 14 juin au Cercle National des Armées à Paris une réunion de sensibilisation sur les techniques d'attaques non-technologiques qui seraient en forte expansion. Regroupées sous le terme de « social engineering », ces attaques visent à obtenir des informations utiles qui seront utilisées, par exemple, pour mener une attaque plus classique sur le SI. Un cas très fréquent est la volonté d'obtenir des identifiants et des mots de passe. Le « social engineering » repose sur les faiblesses humaines. Il existe deux types de stratégies : d'une part les attaques à large échelle non-ciblées reposant sur la loi des grands nombres (le cybercriminel compte sur la bêtise de quelques uns), d'autre part les attaques ciblées avec une préparation et des objectifs précis. Les envois massifs de pourriels, notamment d'hameçonnage dont la qualité intrinsèque s'est nettement améliorée, appartiennent à la première catégorie ; les récupérations de données nominatives et d'organigrammes hiérarchiques permettent les secondes, notamment par usurpation d'identité (il a ainsi été rappelé que les poubelles des entreprises comprennent toujours de grandes quantités de données utiles, notamment des disques durs non-effacés). Mais les manoeuvres relevant du « social engineering » ne sont que rarement en elles-mêmes des délits, tout au plus un prémisse de délit, ce qui rend particulièrement délicat l'intervention de la police. Les intervenants ont insisté sur que les gens ont une tendance naturelle à aider leur prochain si cela ne leur coûte rien. Si une motivation particulière est nécessaire, les cybercriminels emploient souvent instinctivement la méthode dite MICE (Monnaie, idéologie, contrainte, égo) : promettre de l'argent ou un avantage, faire appel aux valeurs (« aidez les pauvres enfants du Tiers-Monde »), usurper l'identité d'un supérieur pour obtenir une soumission à un ordre, jouer sur la flatterie (« un excellent développeur comme vous peut sans doute m'aider... »). Pour lutter contre les attaques relevant du « social engineering », il est nécessaire de sensibiliser les personnels des entreprises, et surtout de donner des directives très claires (par exemple : ne jamais donner un mot de passe par téléphone, rappeler un correspondant sur un numéro identifié et connu avant d'accepter de lui donner une information sensible...). Une manière de lutter contre la divulgation d'informations sensibles est aussi... de supprimer cette information ! Ainsi, il peut être opportun de remplacer des mots de passe par des clés USB portant un identifiant physique.

ACTUALITES A LA UNE Gouvernance Linagora tente d'expliquer l'insuccès du poste de travail libre 16/07/2010 09:52:27 - Quelques mois après le rachat de Sun, Oracle se prépare à lancer la nouvelle version de sa suite bureautique Open Offic (...) Gouvernance Le DSI au coeur de l'intelligence économique 15/07/2010 12:23:27 - Bernard Besson affirme que l'intelligence économique est l'intelligence collective de l'entreprise et permet de multipli (...) Management Créer sa société dans le secteur où on a été DSI Projets Altadis Distribution France dématérialise le traitement de 45 000 factures/an Gouvernance Allianz Informatique optimise et industrialise ses développements avec CMMI Gouvernance Ce que les DSI ne comprennent pas à propos des technologies émergentes Projets La virtualisation, seule, est impuissante à réduire la consommation électrique >> Toute l'actualité
CONFERENCES DECISIONNEL 21/09/2010 De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e Programme   Inscrivez-vous Toutes les conférences		AGENDA Copenhague : DrupalCon Europe Du lundi 23 août 2010 au vendredi 27 août 2010 Bella Center, Copenhague, Danemark en savoir plus Tout l'agenda
		CONTRIBUTIONS Arrêt Oracle - Faurecia 2 : une réponse difficile à une question légitime. Etienne Papin - Parole d'expert Avocat associé du cabinet Féral-Schuhl / Sainte-Marie Une analyse juridique d'une des affaires les plus longues et les plus coûteuses en droit informatique (...) IPv6 : quelles approches pour les entreprises ? Jeremy Gibbons - Parole d'expert Consultant senior au sein de la practice Télécoms et Innovation de Solucom IP version 6 revient en force sur le devant de la scène. Pourquoi cette agitation subite autour d'un (...) Toutes les expertises

. Web-profils.com, la place de marché du conseil et de l'ingénierie